誰能在數碼轉型與駭客攻防的雙重壓力下,依然穩健前行?答案屬於那些將資訊安全融入血液的企業。澳洲聯邦銀行(Commonwealth Bank of Australia)如何攜手 AWS 以 DevSecOps 引領安全文化革新?本文將以 AWS re:Invent 2024 的現場案例,揭示安全與創新的完美交集。
安全文化是數碼轉型的基石
「安全是客戶對我們最重要的期望。」AWS 資訊安全總監 Chris Betz 在 AWS re:Invent 2024 安全研討會開場時如此強調。在 AWS,安全不僅是技術與工具的集合,更是深植於組織 DNA 的文化。這種文化使安全成為主動的內部思維,而非被動的外部規範。
這種理念與澳洲聯邦銀行不謀而合。作為服務澳洲三分之一人口和四分之一企業的最大銀行,澳洲聯邦銀行對安全的重視程度可想而知。該銀行技術總監 Rodrigo Castillo 表示:「安全、韌性和可靠性是我們的最高優先事項。」
澳洲聯邦銀行選擇 AWS 作為安全轉型夥伴,正是看中 AWS 對安全文化的長期投入。AWS 不僅將安全報告直接呈交給 CEO,更將安全視為組織的最高優先事項。這種從上而下的安全文化,為澳洲聯邦銀行的數碼轉型提供了堅實的基礎。
AWS 安全支柱:從文化到技術的全方位保護
AWS 的安全理念不僅體現於文化層面,更落實於從晶片到雲端的全方位技術保護。在硬體層面,AWS Graviton4 處理器設計為最安全、最強大、最節能的處理器:
- 完全加密所有高速實體硬體介面,防禦硬體攻擊
- 記憶體中的資料在操作期間始終加密
- 指標認證使程式碼注入攻擊更難成功執行
而 AWS Nitro System 則進一步強化了安全架構,完全消除了人工管理存取,所有操作均透過安全、經過認證和授權的最低權限管理應用程式介面(Application Programming Interface, API)執行。這種革命性的安全架構,為雲端運算提供了前所未有的安全保障。
除了硬體保護,AWS 還透過自動推理(Automated Reasoning)技術提供安全證明機制。這種基於數學和邏輯的形式化驗證方法,能夠在任何可能的情境下驗證系統行為,為雲端基礎設施和服務的正確性和安全性提供更高層次的保證。AWS 是第一個也是唯一在大規模使用自動推理的雲端供應商,將安全從經驗層面提升到數學證明層面。
案例解析:澳洲聯邦銀行的 DevSecOps 轉型之旅
什麼是 DevSecOps?
開發安全運維(Development Security Operations, DevSecOps)是一種整合安全實踐於開發運維(DevOps)流程中的方法論。傳統上,安全常被視為開發過程的最後一步,往往導致安全問題在項目後期才被發現,增加修復成本和延誤上線時間。DevSecOps 則將安全視為「從設計開始」的核心元素,將其整合到軟體開發生命週期(Software Development Life Cycle, SDLC)的每個階段。
在 DevSecOps 模型中,安全不再是專屬安全團隊的責任,而是整個開發團隊的共同責任。透過自動化安全測試、持續安全監控、威脅建模和安全即程式碼(Security as Code, SaC)等做法,DevSecOps 旨在同時兼顧開發速度、程式碼品質和安全防護,實現「快速且安全地交付」的目標。
澳洲聯邦銀行的 DevSecOps 轉型
澳洲聯邦銀行的 DevSecOps 轉型是一次文化層面的深度變革。該銀行不再將安全視為開發流程中的一個階段或一個部門的職責,而是整合到開發與營運的每個環節中。
「DevSecOps 轉型是我們採取的一種文化方式,為客戶打造明日銀行。」Rodrigo Castillo 解釋道。該銀行建立了一套技術戰略,以實現「共同建設更光明的未來」的願景。
最值得注意的是,澳洲聯邦銀行創建了 12 項能力模型,專注於團隊成熟度而非特定工具。例如,他們不會強制推行特定的安全工具,而是專注於「自動化安全」這一能力本身,讓團隊有彈性在複雜多樣的技術環境中找到適合自己的解決方案。
「有些團隊可能在測試方面已經很成熟,我們不希望他們只專注於此。如果他們在自動化安全或自動化控制保證方面需要更多幫助,他們可以選擇關注這些領域。」Castillo 說明了這種能力導向模型的彈性。
這種專注於團隊成熟度而非特定工具的方法,使澳洲聯邦銀行能夠實現從傳統安全模型到現代 DevSecOps 的平穩過渡。工程團隊現在對服務承擔端到端責任,包括安全層面,不再視安全為「別人的事」。
關鍵技術實踐:AWS 安全服務的整合應用
在技術層面,澳洲聯邦銀行充分利用了 AWS 的先進安全服務。其中,AWS Virtual Private Cloud (AWS VPC)的 VPC Block Public Access (BPA) 是一項簡單但效果顯著的功能,只需一鍵操作即可大幅提升安全防護。
同時,AWS Organizations 中的 Declarative Policies 使該銀行能夠在整個 AWS 組織中統一資源配置標準。這是 AWS Organizations 的新功能,允許統一定義所有虛擬私有雲(Virtual Private Cloud, VPC)的安全設定,避免依賴事後的檢測和反應性控制。
此外,Amazon Security Lake 與 Amazon OpenSearch Service 的零 ETL(Extract, Transform, Load)整合,使澳洲聯邦銀行能夠在不建立複雜 ETL 管道或複製資料的情況下,輕鬆搜尋安全數據。Amazon Security Lake 使用開放網路安全架構框架(Open Cybersecurity Schema Framework, OCSF)標準化資料,為安全分析提供便捷途徑。
這些技術實踐不僅提升了安全性,還大幅提高了效率。Castillo 提到:「我們實施了 AWS 每週營運審核,效果非常好。更多問題從根本上得到解決,我們解決事件的時間減少了一半。」
轉型成果:數據說話
澳洲聯邦銀行的 DevSecOps 轉型取得了顯著成果,數據足以說明一切:
- 效率提升:僅一年內,生產部署的變更數量翻倍,同時影響客戶的事故數量大幅減少
- 安全審查:網路安全審查速度提高四倍,控制措施高度自動化
- 控制保證:從每年評估約 2,500 項控制屬性增加到每月超過 12,000 項,提升近 60 倍
- 文化轉變:訓練了 800 多名安全領袖,推動工程團隊對安全的文化轉型
- 員工滿意度:工程師淨推薦值(Net Promoter Score, NPS)在過去四季翻倍
最值得注意的是員工滿意度的提升。「工程師們感到更快樂,」Castillo 強調,「他們感覺可以做出更多貢獻,而不會創造安全漏洞或技術債務,他們感到自己更有價值。」
這種文化轉變不僅提高了交付速度和質量,還大大改善了銀行的創新文化。「它為我們的工程團隊創造了大量空間,例如,使用生成式 AI 工具和能力,並已經取得了令人驚嘆的成果。」Castillo 總結道。
安全與創新並重:金融科技未來展望
展望未來,安全與創新的關係將更加緊密。AWS 已開始為後量子時代做準備,過去十年積極參與後量子密碼演算法的標準化工作,與全球組織如美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)、歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)和開放量子安全倡議(Open Quantum Safe Initiative)合作。
同時,機密運算(Confidential Computing)在金融數據保護方面的應用前景廣闊。AWS Nitro Enclaves(AWS Nitro 隔離區)可以完全隔離計算環境,處理高度敏感的數據,為金融機構提供更高層次的數據保護。
生成式 AI 與安全的融合也是未來發展的重要方向。AWS 與 Anthropic 的合作展示了如何在保障客戶資料與合規需求下,推動 AI 創新。Anthropic 資訊安全總監 Jason Clinton 在 re:Invent 2024 上指出:「AWS 為客戶提供了 Claude,具備多項合規認證,這是作為年輕公司的 Anthropic 尚未擁有的。」AWS 透過其 Nitro 架構,確保客戶可以在安全隔離的環境中使用 Claude,且所有資料皆在 AWS 處理,Anthropic 不會接觸客戶數據。這樣的架構,讓企業客戶能清楚地交代其 AI 使用的合規脈絡與資料保護措施。
最後,澳洲聯邦銀行的案例告訴我們,真正的安全轉型不僅關乎技術,更關乎文化。正如 AWS 資訊安全總監 Chris Betz 所言:「文化滋養安全創新。」只有將安全融入企業文化基因,才能在數碼轉型的道路上建立真正的無形守護與有形防線。
參考資料
- AWS re:Invent 2024 – Security insights and innovation from AWS (SEC203)
- AWS Nitro System
- AWS Graviton
- Amazon Security Lake
- Amazon OpenSearch Service
- AWS Virtual Private Cloud (AWS VPC)
- VPC Block Public Access (BPA) – AWS VPC
- AWS Organizations
- Declarative policies – AWS Organizations
